M0n0wall är en öppen källkod brandvägg och trådlös router utvecklad av Manuel Kasper, byggd på ett avskalat FreeBSD-operativsystem. M0n0wall erbjuder många av samma funktioner som finns i kommersiella brandväggar produkter såsom Check Point Firewall – 1 och Cisco Pix, inklusive stateful paketfiltrering. Med det kan du skapa ett säkert virtuellt privat nätverk (VPN) mellan två webbplatser, eller så kan du använda m0n0wall som en VPN-gateway, så att du kan komma åt ditt LAN säkert från Internet. Du kan använda RADIUS för klientautentisering för att höja säkerheten ännu högre.
M0n0wall har ett bra webbgränssnitt för att konfigurera brandväggsinställningar. Det mesta av konfigurationen kan göras via webbgränssnittet och alla värden lagras i en enda XML-fil. Konfigurationen kan sparas på en diskett, hårddisk eller externt minneskort. Detta gör det enkelt att distribuera flera brandväggar med en liknande maskinvaruinställning.
brandväggen är stabil och ser ut som en kommersiell brandvägg; den enda skillnaden är dess brist på en kommersiell prislapp. Jag har använt m0n0-brandväggen på många olika PC-konfigurationer i mer än ett år utan problem. Som med all programvara med öppen källkod kan du ladda ner en komplett, icke-förlamad version av m0n0wall för utvärdering och testning.
installera m0n0wall
för att prova m0n0wall, ladda ner en bildfil. Du kan välja mellan bilder för en vanlig dator eller för en speciell inbäddad hårdvaruenhet. Varje tillvägagångssätt har fördelar och nackdelar. Gamla reservdatorer (en 100MHz 486 med 64MB RAM eller bättre kommer att göra) finns överallt; men de gör mycket ljud och använder mycket kraft. Inbyggda system gör lite eller inget ljud och använder minimal effekt, men du har förmodligen inte ett extra Soekris-system i källaren, så skulle behöva köpa utrustningen, som börjar på ungefär $200. För hårdvarubaserade konfigurationer som Soekris kan du utföra en firmwareuppdatering på m0n0wall när uppdateringar är tillgängliga från m0n0-projektet.
jag testade m0n0wall på en gammal 450mhz Compaq ProLiant med 128MB RAM. Jag laddade ner rätt bild och brände den till en startbar CD-ROM. Tips: kom ihåg att använda bildalternativet i din CD-brännarprogramvara; att bara kopiera filen ger inte en startbar bild. Sätt CD-skivan i din framtida brandvägg; koppla ur alla Nätverkskablar och slå på strömmen.
om allt är korrekt bör du se följande skärm :
*** Detta är m0n0wall, version 1.2B3
byggd på Sun Dec 5 11:22:47 CET 2004 för generic-pc-cdrom
Copyright (C) 2002-2004 av Manuel Kasper. Alla rättigheter förbehållna.
besök http://m0n0.ch/wall för uppdateringar.
LAN IP-adress: 192.168.1.1
Port konfiguration:
LAN – > sis0
WAN – > sis1
m0n0vägg konsol setup
**********************
1) gränssnitt: tilldela nätverksportar
2) Ställ in LAN IP-adress
3) Återställ webGUI-lösenord
4) Återställ till fabriksinställningar
5) Starta om systemet
6) Ping host
välj först alternativ 1 för att tilldela LAN-och WAN-gränssnitten och en semi-betrodd DMZ om du väljer att ha en.
om du måste ändra LAN-IP-adressen till något annat än standard-IP (192.168.1.1) väljer du alternativ 2. Här kan du också tilldela en DHCP-server om du vill använda DHCP på ditt LAN.
de följande fyra alternativen är för felsökning; du borde inte behöva dem just nu.
åtkomst till webbgränssnittet
Anslut nu en crossover-kabel till brandväggens LAN-gränssnitt och använd en annan dator i nätverket med en webbläsare för att göra resten av konfigurationen. Rikta webbläsaren till http://192.168.1.1 (eller IP-adressen du anger med alternativ 2 i konsolen). Använd användarnamnet admin och lösenord m0n0.
Under skärmen Allmän inställning kan du — och bör-ändra standard användarnamn / lösenord. Du kan också ändra värdnamnet på brandväggen och ange om du vill använda DNS. Du kan också ange att du vill använda Network Time Protocol (NTP) för att synkronisera systemtiden med en NTP-server för att säkerställa att systemloggtiderna är korrekta.
du kan ställa in många olika konfigurationer för ditt WAN-gränssnitt, inklusive PPPoE, PPTP, BigPond-kabel och andra.
nästa steg är att konfigurera vissa brandväggsregler. Börja med några enkla regler, till exempel ”allt från LAN till WAN är tillåtet.”I m0n0 betyder * ”någon”, så regeln nedan tillåter allt från ditt LAN till Internet.
| Proto | källa | Port | Destination | Port | beskrivning |
| * | LAN net | * | * | * | standard LAN – > någon |
det är väldigt lätt att ändra regler. Om du bara vill tillåta HTTP-trafik till Internet från LAN, Ändra ovanstående regel till följande:
| Proto | källa | Port | Destination | Port | beskrivning |
| TCP | LAN net |
80 HTTP |
* | * | endast HTTP från LAN- > någon |
du kan ställa in network address translation (nat) och aktivera trafikformning. Under fliken service kan du aktivera DHCP-servern, men om du gör det, se till att inga andra DHCP-servrar är aktiva på ditt LAN.
när du har angett din nuvarande inställning, spara den. Du kan sedan ansluta brandväggen till WAN. Om du gjorde allt korrekt bör dina LAN-användare nu kunna njuta av att surfa på Internet.
mer avancerade funktioner
om du vill få tillgång till ditt LAN från Internet kan du ställa in en PPTP-tunnel från en extern klient för att säkert komma åt ditt LAN eller använda en RADIUS-server för autentisering av de externa klienterna. PPTP-inställningen beror mycket på ditt klientmaskinoperativsystem och vilken kryptering du kan använda. Dina faktiska inställningar måste anges i VPN-menyn.
du kan också ställa in en VPN-anslutning från plats till plats, så länge du kan konfigurera den andra sidan av VPN-tunneln. Jag lyckades göra en VPN-anslutning till en Check Point Firewall-1-maskin med ett minimum av arbete.
trots sina goda poäng har m0n0wall vissa nackdelar jämfört med kommersiella produkter. Det viktigaste är att det inte finns något 24-stöd för 7-stöd tillgängligt. Det finns en mycket aktiv e-postlista med många hjälpsamma människor och en IRC-kanal, men du är ensam om din uppdragskritiska m0n0-brandvägg dör mitt på natten.